17、深入探索 Splunk：摘要索引、CSV 文件与配置管理

深入探索 Splunk：摘要索引、CSV 文件与配置管理

摘要索引的使用与数据存储

在处理数据时，有时需要将结果用于摘要索引，可通过以下两种方式消除进入数据集的结果：

source="impl_splunk_gen"
  | sitop req_time
  | streamstats count as place
  | where place<2001

上述代码中， sitop 生成的第一行包含总值。另一种结合 eventstats 和 sistats 的方法如下：

source="impl_splunk_gen"
  | eventstats count by req_time
  | sort 0 -req_time
  | streamstats count as place
  | where place<2001
  | sistats count by req_time

有时需要将事件复制到另一个索引，原因主要有以下两点：
- 不同的保留期限：某些特殊事件需要无限期保留，但最初捕获它们的索引在一段时间后会滚动删除，此时可将这些事件捕获到摘要索引中。
- 数据丰富：有时对数据进行丰富处理的成本过高，无法在每次查询时都进行，或者需要在特定时间点捕获具有查找值的事件。

将事件复制到摘要索引的步骤如下：
1. 创建填充查询。
2. 使用 fields 命令添加感兴趣的字段。